Ataques GitVenom exploram GitHub
26 de Fevereiro de 2025

Uma campanha de malware denominada GitVenom está utilizando centenas de repositórios no GitHub para enganar usuários a baixarem infostealers, Remote Access Trojans (RATs) e clipboard hijackers para roubar criptomoedas e credenciais.

De acordo com a Kaspersky, GitVenom está ativa há pelo menos dois anos, visando usuários globalmente, mas com um foco elevado na Rússia, no Brasil e na Turquia.

“No decorrer da campanha GitVenom, os atores de ameaça por trás dela criaram centenas de repositórios no GitHub que contêm projetos falsos com código malicioso – por exemplo, um instrumento de automação para interagir com contas do Instagram, um bot do Telegram que permite gerenciar carteiras de Bitcoin, e uma ferramenta de hacking para o jogo Valorant,” descreve Georgy Kucherin da Kaspersky.

O pesquisador explica que os repositórios falsos são elaborados com cuidado, contendo detalhes e arquivos Readme apropriadamente escritos, provavelmente com a ajuda de ferramentas de IA.

Além disso, os atores de ameaça usam truques para inflar artificialmente o número de commits enviados a esses repositórios, criando uma imagem falsa de alta atividade e aumentando a credibilidade.

A análise da Kaspersky de múltiplos repositórios apoiando a campanha GitVenom revelou que o código malicioso injetado nos projetos é escrito em várias linguagens, incluindo Python, JavaScript, C, C++ e C#.

Acredita-se que diferentes linguagens sejam usadas para evadir a detecção por ferramentas específicas de revisão de código ou métodos.

Uma vez que a vítima executa o payload, o código injetado baixa a segunda etapa de um repositório GitHub controlado pelo atacante.

A Kaspersky encontrou as seguintes ferramentas usadas no GitVenom:

- Node.js stealer – Infostealer que visa credenciais salvas, informações de carteiras de criptomoedas e histórico de navegação.

Ele comprime os dados em um arquivo .7z e os exfiltra via Telegram.
- AsyncRAT – RAT de código aberto que permite controle remoto, keylogging, captura de tela, manipulação de arquivos e execução de comandos.
- Quasar backdoor – RAT de código aberto com capacidades similares às do AsyncRAT.
- Clipboard hijacker – Malware que monitora a área de transferência da vítima para endereços de carteiras de criptomoedas e substitui qualquer um por um endereço controlado pelo atacante, redirecionando fundos para o hacker.

O relatório destaca um caso de novembro de 2024, quando a carteira Bitcoin do atacante recebeu 5 BTC, valorizados em meio milhão de USD.

Embora malware escondido em repositórios GitHub sob o disfarce de software comum ou até mesmo explorações Proof of Concept (PoC) não seja novidade, a duração e o tamanho do GitVenom provam que o abuso de plataformas legítimas continua a ser muito eficaz.

É crucial investigar um projeto cuidadosamente antes de usar qualquer um de seus arquivos, inspecionando o conteúdo do repositório, escaneando arquivos com ferramentas antivírus e executando arquivos baixados em um ambiente isolado.

Sinais de alerta incluem código ofuscado, commits automatizados incomuns e arquivos Readme excessivamente detalhados que parecem gerados por IA.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...